Cisco Cisco Firepower Management Center 2000 User Guide
第
章
7-1
FireSIGHT 系统用户指南
7
设置虚拟路由器
可在第 3 层部署中配置受管设备,使其在两个或多个接口之间路由流量。必须为每个接口分配一
个 IP 地址,并将这些接口分配给虚拟路由器以路由流量。在 3 系列受管设备上,可将多个物理接
口分组到单个逻辑路由接口中,这称为链路聚合组 (LAG)。此单个聚合逻辑链路在两个端点之间
提供更高的带宽、冗余和负载均衡。
个 IP 地址,并将这些接口分配给虚拟路由器以路由流量。在 3 系列受管设备上,可将多个物理接
口分组到单个逻辑路由接口中,这称为链路聚合组 (LAG)。此单个聚合逻辑链路在两个端点之间
提供更高的带宽、冗余和负载均衡。
可对系统进行配置,使其根据目标地址做出数据包转发决策,从而对数据包进行路由。配置为路
由接口的接口将接收和转发第 3 层流量。路由器根据转发条件从输出接口获取目标,访问控制规
则指定要应用的安全策略。
由接口的接口将接收和转发第 3 层流量。路由器根据转发条件从输出接口获取目标,访问控制规
则指定要应用的安全策略。
在第 3 层部署中,可定义静态路由。此外,还可以配置路由信息协议 (RIP) 和开放式最短路径优
先 (OSPF) 动态路由协议。还可以配置静态路由与 RIP 或静态路由与 OSPF 的组合。
先 (OSPF) 动态路由协议。还可以配置静态路由与 RIP 或静态路由与 OSPF 的组合。
注意事项
如果第 3 层部署出于任何原因失效,则设备将不再传递流量。
有关配置第 3 层部署的详细信息,请参阅以下各节。
•
•
•
配置路由接口
许可证:可控性
受支持的设备:3 系列
可使用物理或逻辑配置设置路由接口。可以配置物理路由接口,以处理未标记的 VLAN 流量。还
可创建逻辑路由接口,以处理带有指定 VLAN 标记的流量。
可创建逻辑路由接口,以处理带有指定 VLAN 标记的流量。
在第 3 层部署中,如果外部物理接口上收到的流量没有等待它的路由接口,系统会将其这些流量
全部丢弃。如果系统收到的数据包没有 VLAN 标记,且尚未给该端口配置物理路由接口,系统将
丢弃该数据包。如果系统收到带 VLAN 标记的数据包,但尚未配置逻辑路由接口,则系统也将丢
弃该数据包。
全部丢弃。如果系统收到的数据包没有 VLAN 标记,且尚未给该端口配置物理路由接口,系统将
丢弃该数据包。如果系统收到带 VLAN 标记的数据包,但尚未配置逻辑路由接口,则系统也将丢
弃该数据包。
在处理交换接口上收到的带 VLAN 标记的流量时,系统会首先在入口处剥离最外层的 VLAN 标
记,然后再进行任何规则评估或做出转发决策。当数据包通过带 VLAN 标记的逻辑路由接口离开
设备时,系统会在出口处使用关联的 VLAN 标记对该数据包进行封装。剥离过程结束后,系统将
丢弃接收到的所有带 VLAN 标记的任何流量。
记,然后再进行任何规则评估或做出转发决策。当数据包通过带 VLAN 标记的逻辑路由接口离开
设备时,系统会在出口处使用关联的 VLAN 标记对该数据包进行封装。剥离过程结束后,系统将
丢弃接收到的所有带 VLAN 标记的任何流量。
请注意,如果将父物理接口更改为内联或被动接口,系统将删除所有关联的逻辑接口。